基于手機(jī)智能卡的DRM系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
文章出處:http:// 作者:李炳蔚 劉杰 人氣: 發(fā)表時間:2011年09月28日
1 引言
隨著互聯(lián)網(wǎng)的飛速發(fā)展,人們可以很容易地在互聯(lián)網(wǎng)上找到各種盜版的軟件和影音作品。這種盜版行為不僅侵害了作者的知識產(chǎn)權(quán),而且極大地?fù)p害了作者的經(jīng)濟(jì)利益。在互聯(lián)網(wǎng)和移動通信緊密結(jié)合的今天,使用手機(jī)上網(wǎng)看電影聽音樂也變得越來越流行,隨之而來的版權(quán)保護(hù)問題也日益突出,為了保護(hù)內(nèi)容提供商的利益,促進(jìn)移動增值業(yè)務(wù)的良性發(fā)展,我們設(shè)計(jì)了一個在手機(jī)上使用的,基于智能卡的DRM數(shù)字版權(quán)保護(hù)系統(tǒng)。手機(jī)用戶可以通過付費(fèi),有償使用數(shù)字資源,同時該系統(tǒng)可以限定用戶的權(quán)限(比如一部電影只能播放幾次,不允許和其它用戶共享等),從而最大限度地保護(hù)數(shù)字版權(quán)。
2 基于智能卡的DRM系統(tǒng)的關(guān)鍵技術(shù)
2.1 OMA DRM
DRM(Digital Rights Management,數(shù)字版權(quán)管理)是一項(xiàng)加強(qiáng)對音頻、視頻數(shù)字化產(chǎn)品內(nèi)容版權(quán)保護(hù)的技術(shù)。其基本工作原理是將音頻、視頻等文件進(jìn)行加密編碼處理,再建立一個證書授權(quán)服務(wù)中心;當(dāng)用戶使用這些加密文件時,應(yīng)用軟件會根據(jù)其包含在頭文件中的有關(guān)屬性自動鏈接到相應(yīng)的站點(diǎn)(證書授權(quán)服務(wù)中心)獲取相應(yīng)的證書;只有通過授權(quán)中心的驗(yàn)證并獲得授權(quán),才能使用這些音、視頻等文件,從而有效的保護(hù)了這些數(shù)字多媒體產(chǎn)品的版權(quán)和使用權(quán)限。
OMA DRM 是OMA(Open Mobile Alliance)開發(fā)移動聯(lián)盟制定的可用于移動通信終端的DRM協(xié)議;作為一個開放的標(biāo)準(zhǔn),它的最大特點(diǎn)在于平臺接口的標(biāo)準(zhǔn)化和開放性。因此它得到了眾多運(yùn)營商和設(shè)備提供商的支持和應(yīng)用, 目前歐美和我國的大多數(shù)運(yùn)營商都在其數(shù)字版權(quán)保護(hù)系統(tǒng)中使用了OMA DRM。本系統(tǒng)采用的是OMA DRM2.1版本的標(biāo)準(zhǔn),它在DRM基本原理的前提下進(jìn)行了一定程度的變化,其主要特點(diǎn)在于:將加密內(nèi)容和版權(quán)同時發(fā)送給用戶,而不是播放加密內(nèi)容時再去相應(yīng)站點(diǎn)獲取。
2.2 PKI體系
公鑰基礎(chǔ)設(shè)施(PKI,Public Key Infrastructure)是利用公鑰概念和加密技術(shù)為網(wǎng)上通信提供的符合標(biāo)準(zhǔn)的一整套安全基礎(chǔ)平臺。PKI體系中的2個關(guān)鍵技術(shù)是對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)。對稱密鑰技術(shù)使用同一個密鑰進(jìn)行文件的加解密,即只要知道了加密密鑰就可以用它來解密文件。非對稱密鑰技術(shù)使用2個密鑰:公鑰和私鑰,文件可以使用公鑰加密私鑰解密,也可以使用私鑰加密公鑰解密。公私鑰一一對應(yīng),公鑰向公眾公開,私鑰則由私人唯一擁有。本系統(tǒng)使用了DES對稱密鑰技術(shù)和RSA非對稱密鑰技術(shù)。
2.3智能卡技術(shù)
智能卡(smart Card),也口L{IC卡,它是一個帶有中,智能卡核實(shí)版權(quán)中的權(quán)限,如果權(quán)限確實(shí)屬于該用戶,且沒有使用完,卡上的密碼處理器使用卡中的用戶私鑰解密出對稱密鑰,并將對稱密鑰發(fā)送給手機(jī)中的合法播放器,播放器使用該密鑰解密數(shù)字內(nèi)容進(jìn)行播放。為了防止非法的播放軟件竊取對稱密鑰,智能卡設(shè)有訪問口令,只有合法的播放器才可以進(jìn)行訪微處理器和存儲器等微型集成電路芯片的、具有標(biāo)準(zhǔn)規(guī)格的卡片,如圖1所示。智能卡已應(yīng)用到銀行、電信、交通、社會保險(xiǎn)、電子商務(wù)等領(lǐng)域,本系統(tǒng)中使用的手機(jī)SIM 卡即屬于智能卡的范疇。對于應(yīng)用于PKI體系的智能卡,一般都帶有硬件仿真隨機(jī)數(shù)發(fā)生器、RSA協(xié)處理器,可以用硬件實(shí)現(xiàn)RSA的運(yùn)算。另外,還具有DES和SHA一1等密碼算法,保證在硬件內(nèi)部產(chǎn)生密鑰對,并在硬件內(nèi)部完成加、解密運(yùn)算。本系統(tǒng)將用戶私鑰存放在智能卡存儲器中,利用硬件運(yùn)算RSA,完成解密工作。
3 基于智能卡的DRM系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
3.1 系統(tǒng)的原理及組成
本系統(tǒng)的基本原理是:首先使用對稱密鑰加密數(shù)字內(nèi)容,當(dāng)用戶請求下載時,再使用用戶的公鑰加密對稱密鑰,將加密后的密鑰和相應(yīng)的權(quán)限包含在版權(quán)中,然后將加密內(nèi)容和版權(quán)一起傳給用戶。用戶得到版權(quán)后,使用自己的私鑰即可解密出對稱密鑰,并用它解密數(shù)字內(nèi)容進(jìn)行欣賞。
因此整個系統(tǒng)可以由2個模塊組成:客戶端模塊和后臺服務(wù)模塊??蛻舳四K包括用戶瀏覽器Browser,下載代理DL Agent和版權(quán)代理DRM Agent。后臺服務(wù)模塊包括服務(wù)器Presentation Server,版權(quán)提供商Right Issuer和內(nèi)容提供商Content Issuer。
3.2 系統(tǒng)的模塊功能設(shè)計(jì)
后臺服務(wù)模塊負(fù)責(zé)數(shù)字內(nèi)容的加密。內(nèi)容提供商使用對稱密鑰加密原始的數(shù)字內(nèi)容,并把對稱密鑰和該數(shù)字內(nèi)容的標(biāo)識發(fā)送給版權(quán)提供商,以便日后生成版權(quán)??蛻舳四K負(fù)責(zé)數(shù)字內(nèi)容的解密和播放??蛻舳耸盏郊用艿膬?nèi)容和版權(quán)后,版權(quán)被發(fā)送到手機(jī)智能卡中,智能卡核實(shí)版權(quán)中的權(quán)限,如果權(quán)限確實(shí)屬于該用戶,且沒有使用完,卡上的密碼處理器使用卡中的用戶私鑰解密出對稱密鑰,并將對稱密鑰發(fā)送給手機(jī)中的合法播放器,播放器使用該密鑰解密數(shù)字內(nèi)容進(jìn)行播放。為了防止非法的播放軟件竊取對稱密鑰,智能卡設(shè)有訪問口令,只有合法的播放器才可以進(jìn)行訪問,如圖1所示。
圖1 數(shù)字內(nèi)容的加密和解密過程
3.3 系統(tǒng)的安全架構(gòu)
基于智能卡的DRM 系統(tǒng)的安全架構(gòu)由參與實(shí)體,網(wǎng)絡(luò)安全協(xié)議和安全基礎(chǔ)設(shè)施3個部分組成。各部分在系統(tǒng)中起著不同的作用,PKI作為安全基礎(chǔ)設(shè)施是安全協(xié)議有效實(shí)施的基礎(chǔ),一切基于身份鑒權(quán)認(rèn)證的應(yīng)用都需要PKI的支持;ROAP是一種安全傳輸協(xié)議,它與PKI相結(jié)合實(shí)現(xiàn)了身份認(rèn)證,公鑰發(fā)放等功能;在此基礎(chǔ)上,各參與實(shí)體相互通信完成了內(nèi)容和版權(quán)的生成,傳輸下載和播放,如圖2所示。
圖2 系統(tǒng)的安全架構(gòu)
3.4 系統(tǒng)的無線傳輸過程
手機(jī)客戶端通過GPRS無線信道和后臺服務(wù)模塊交互,獲取數(shù)字內(nèi)容和版權(quán),考慮到無線信道傳輸收到加密的內(nèi)容和版權(quán)后,版權(quán)被發(fā)送到手機(jī)智能卡 的不安全性,為了防止其他人非法冒充竊取相關(guān)內(nèi)容,本系統(tǒng)使用了OMA DRM 標(biāo)準(zhǔn)中的ROAP協(xié)議進(jìn)行數(shù)字內(nèi)容和版權(quán)的傳輸。ROAP (Rights ObjectAcquisition Protoco1)是OMA DRM 中的一個傳輸協(xié)議標(biāo)準(zhǔn);在該協(xié)議中,版權(quán)提供商和版權(quán)代理經(jīng)過一系列的相互認(rèn)證,確認(rèn)彼此的合法性,在傳輸過程中采用嚴(yán)格的請求響應(yīng)機(jī)制,因此可以保證數(shù)字內(nèi)容不會被非法的竊取使用和傳播。
ROAP協(xié)議分成2個過程:登記識別和下載內(nèi)容版權(quán)。
3.4.1登記識別
登記識別是為了讓用戶和服務(wù)器相互確定對方的合法性,如果用戶首次登陸將執(zhí)行登記過程,否則執(zhí)行識別過程,如圖3所示。
首先客戶端瀏覽器Browser發(fā)送一個HTTP登記請求,版權(quán)提供商RI收到后生成一個登記觸發(fā)Registration ROAP Trigger并把它傳送給服務(wù)器Presentation Server,服務(wù)器將帶有下載描述符DD和ROAP Trigger的HTTP響應(yīng)返回給下載代理DL Agent,下載代理讀取后把ROAP Trigger傳給版權(quán)代理DRM Agent,版權(quán)代理啟動與版權(quán)提供商的4-pass Registration ROAP 會話。執(zhí)行完畢后,下載代理將指向Next URL,以供下次使用。服務(wù)器返回給用戶登記成功的響應(yīng)。
4-pass Registration ROAP會話是本過程的關(guān)鍵,通過該會話,用戶和服務(wù)器交換了各自的公鑰和數(shù)字證書,從而確定了彼此的身份和合法性。識別過程與此基本相同,只是把4-pass Registration ROAP會話改為2-pass Identification ROAP會話。
3.4.2下載內(nèi)容和版權(quán)
登記識別成功后,用戶將確定自己需要的數(shù)字內(nèi)容的使用權(quán)限并連同支付的電子貨幣一起通過HTTP發(fā)送給服務(wù)器。服務(wù)器確認(rèn)后,和版權(quán)提供商RI交互生成一個相應(yīng)的版權(quán)RO, 同時RI生成一個ROAcquisition ROAP Trigger并傳給服務(wù)器,服務(wù)器將帶有下載描述符DD 和ROAP Trigger的HTTP響應(yīng)返回給下載代理。下載代理讀取后將ROAPTrigger傳給版權(quán)代理,版權(quán)代理發(fā)送下載請求至RI,RI將版權(quán)RO連同從內(nèi)容提供商CI處獲得的內(nèi)容CO一起傳送過來(版權(quán)RO和內(nèi)容CO在邏輯上相互分離,也可以采用分開傳送的方式)。
版權(quán)代理安裝好內(nèi)容和版權(quán)后,通知下載代理安裝成功(或失敗),下載代理將安裝狀態(tài)發(fā)送給RI,RI收到后回復(fù)。之后,下載代理將指向NEXTURL,以供下次使用。
通過以上2個過程,加密內(nèi)容和版權(quán)被安全地傳輸?shù)搅撕戏ǖ挠脩羰种?,客戶端采用圖4的步驟就可以解密出數(shù)字內(nèi)容進(jìn)行欣賞。
3.4.3版權(quán)的組成
下載的版權(quán)由rilD,right,signature,timeStamp,encKey,version,id,stateful, domainRO,riURL等屬性組成。其中right為用戶權(quán)限,包含了用戶的信息和使用的次數(shù)。stateful負(fù)責(zé)記錄權(quán)限使用的情況,當(dāng)權(quán)限使用完后,該版權(quán)失效。encKey包括用于驗(yàn)證版權(quán)完整性的MAC KEY和加密后的對稱密鑰,如圖5所示。
圖3 登記識別
通過合理設(shè)置版權(quán)中的屬性,保證了版權(quán)只能按照相應(yīng)的權(quán)限進(jìn)行使用,防止合法用戶無限制使用版權(quán)和非法傳播共享的現(xiàn)象發(fā)生。
圖4 下載內(nèi)容和版權(quán)
4 結(jié)論
在手機(jī)上網(wǎng)日益普及的今天,為了保護(hù)無線下載內(nèi)容的數(shù)字版權(quán),基于手機(jī)智能卡的DRM 數(shù)字版權(quán)保護(hù)技術(shù)應(yīng)運(yùn)而生,許多基于 了內(nèi)容提供商的利益,越來越多的商家參與到無線下該技術(shù)的產(chǎn)品已經(jīng)投入使用。由于該技術(shù)有效地保護(hù) 載內(nèi)容的創(chuàng)造和發(fā)布中,為廣大手機(jī)上網(wǎng)用戶提供了
圖5 版權(quán)的組成
越來越多的優(yōu)質(zhì)數(shù)字影音資源,同時它還促進(jìn)了移動增值業(yè)務(wù)的發(fā)展,為運(yùn)營商產(chǎn)生了巨大的經(jīng)濟(jì)效益。
(文/北京郵電大學(xué)電子工程學(xué)院 李炳蔚 劉杰)